Nuovi attacchi informatici su larga scala hanno colpito diversi siti italiani nei settori bancario, dei trasporti e della difesa: a rivendicarli è il gruppo di hacker filorussi NoName057(16).
L’escalation di attacchi dimostra quanto sia urgente investire nella protezione delle infrastrutture digitali del Paese. Oltre ai danni economici diretti, tali azioni rappresentano una minaccia alla stabilità delle istituzioni e al regolare funzionamento di servizi essenziali. L’Italia, così come gli altri Stati europei, dovrà continuare a rafforzare le proprie difese per contrastare questa nuova frontiera della guerra ibrida.
Scopriamo in modo più dettagliato l’accaduto e qual è la situazione attuale.
Attacchi hacker filorussi contro l’Italia: colpite banche trasporti e industria bellica
Un nuovo attacco informatico su larga scala ha colpito diversi siti italiani nei settori bancario, dei trasporti e della difesa. Il gruppo di hacker filorussi NoName057(16) ha lanciato un’offensiva DDoS (Distributed Denial of Service) contro numerosi portali, causando disservizi significativi.
Tra gli obiettivi figurano Mediobanca, Nexi e alcune delle principali aziende italiane produttrici di armamenti, come Benelli, Fiocchi Munizioni e Fra. Coinvolte anche infrastrutture strategiche come gli aeroporti di Linate e Malpensa, l’Autorità di Regolazione dei Trasporti e i porti di Taranto e Trieste. Se il sito di Nexi ha resistito all’assalto, gli altri sono risultati temporaneamente inaccessibili.
Il meccanismo dell’attacco
Gli attacchi DDoS, tipicamente usati per paralizzare i sistemi informatici, consistono nell’invio massivo di richieste ai server di un obiettivo, fino a sovraccaricarli e impedirne il normale funzionamento. Questa strategia, assimilabile a un ingorgo che blocca l’ingresso a un edificio, rende inefficace il semplice blocco di un’unica fonte di traffico dannoso, poiché l’offensiva proviene da numerosi punti diversi della rete.
Chi sono questi hacker appartenenti a NoName057(16)?
NoName057(16) è il nome di un gruppo di criminali informatici filorussi non professionisti che si è presentato per la prima volta nel marzo 2022 e da allora ha rivendicato la responsabilità di svariati attacchi cibernetici contro agenzie governative, media e aziende private ucraini, statunitensi ed europei, in particolare siti web di governi, mezzi di informazione e aziende.
Effettua prevalentemente attacchi dimostrativi di tipo DDoS, che poi rivendicano con messaggi sul loro canale Telegram. Il gruppo ha creato su GitHub una piattaforma chiamata DDosia, che consente a chiunque di condurre attacchi DDoS contro gli obiettivi scelti dal gruppo russo in cambio di ricompense in denaro.
NoName057(16) prende di mira paesi che considera “nemici della Russia”, in special modo l’Ucraina e gli stati che ne supportano la difesa contro l’invasione russa, tra cui Estonia, Lettonia, Lituania, Polonia, Slovacchia, Norvegia, Finlandia, Italia, Regno Unito e Stati Uniti.
Una serie di attacchi ravvicinati
Si tratta del terzo episodio in appena tre giorni. La scorsa settimana, attacchi simili avevano colpito i siti istituzionali del Ministero delle Imprese e del Made in Italy, della Guardia di Finanza e di alcuni sottodomini del Ministero dell’Interno. Anche i portali dell’Aeronautica Militare e del Ministero delle Infrastrutture e dei Trasporti erano stati temporaneamente resi irraggiungibili.
Secondo gli esperti di cybersicurezza, l’ondata di attacchi è stata scatenata in risposta alle recenti dichiarazioni del presidente della Repubblica Sergio Mattarella, che ha paragonato l’attuale governo russo al Terzo Reich. L’episodio rientra in una più ampia strategia di destabilizzazione informatica messa in atto da gruppi legati a Mosca contro Paesi occidentali e istituzioni europee.
La risposta dell’Agenzia per la Cybersicurezza Nazionale
L’Agenzia per la Cybersicurezza Nazionale è intervenuta tempestivamente per contenere i danni, avvisando i soggetti colpiti e fornendo supporto tecnico per il ripristino dei servizi. Il direttore dell’Agenzia, il prefetto Bruno Frattasi, ha sottolineato che, sebbene il numero di attacchi DDoS sia aumentato da 319 a 519 in un anno, la loro efficacia è diminuita grazie alle misure di contrasto adottate.
Nel 2023, NoName057 aveva già dimostrato di prendere di mira l’Italia, arrivando persino a pubblicare un fotomontaggio ironico del direttore dell’Agenzia per deridere la sicurezza informatica del Paese. Tuttavia, grazie a un rafforzamento delle difese cibernetiche, gli effetti di queste offensive risultano oggi più contenuti rispetto al passato.
Perché non si riesce ad arginare questi attacchi?
Nonostante l’intervento dell’Agenzia per la Cybersicurezza Nazionale e il potenziamento delle misure di difesa, gli attacchi DDoS continuano a rappresentare una sfida complessa. Il problema principale è che queste offensive sono difficili da bloccare alla radice: il traffico dannoso proviene da molteplici fonti, spesso distribuite in diversi Paesi, rendendo complicato l’individuazione e il filtraggio tempestivo.
Inoltre, i gruppi di hacker come NoName057(16) utilizzano strumenti sempre più sofisticati per eludere le contromisure adottate dalle istituzioni. Se da un lato la resilienza delle infrastrutture digitali è migliorata – come dimostra il calo della dannosità degli attacchi dal 19% al 15% – dall’altro il numero di offensive è in forte aumento, segno che la battaglia informatica è tutt’altro che vinta.
Per arginare questi attacchi, sarebbe necessario rafforzare ulteriormente la cooperazione internazionale, investire in tecnologie di difesa più avanzate e diffondere una maggiore consapevolezza sulle vulnerabilità informatiche. La cybersicurezza non può essere affrontata solo in modo reattivo: servono strategie proattive e un coordinamento più stretto tra pubblico e privato per prevenire nuovi episodi e proteggere le infrastrutture critiche del Paese.
Ma restano alcuni dubbi
Anche se alcune cose non tornano. La prima è la sicurezza informatica, che si dà per scontato, sia utilizzata da certi tipi di aziende che hanno servizi critici. Un attacco DDoS è un tipo di attacco informatico mirato a rendere un servizio online, un sito web o una rete indisponibile per gli utenti legittimi. Questo avviene sovraccaricando il sistema bersaglio con un’enorme quantità di traffico dannoso proveniente da più fonti contemporaneamente.
Per fare questo serve che chi attacca, infetta con malware un numero elevato di dispositivi (PC, server, IoT, ecc.), trasformandoli in “bot” controllabili a distanza. Dopodiché l’attaccante invia un comando alla botnet per iniziare l’attacco, indirizzando tutto il traffico verso il bersaglio. Il servizio colpito subisce un sovraccarico di richieste, esaurendo banda, CPU, RAM o altre risorse, causando rallentamenti o crash.
Ma dovremmo dare per scontato, che aziende della difesa o banche, sicuramente hanno servizi o dovrebbero avere servizi di mitigazione DDoS (Cloudflare, Akamai, AWS Shield). Sicuramente monitorano il traffico con sistemi di rilevamento delle anomalie e avranno configurato i firewall per limitare traffico sospetto o utilizzeranno protezioni a livello di rete con filtri specifici. Altrimenti bisognerebbe licenziare i team della sicurezza informatica di queste aziende, che sarebbero dei dilettanti allo sbaraglio, cosa che stentiamo a credere.
La seconda cosa che non torna, è la rivendicazione da parte di hacker russi, se realmente la rivendicazione c’è stata. A parte il fatto che bisognerebbe capire a chi servirebbe una rivendicazione del genere e chi ci dice che la rivendicazione è veritiera.
Se non si riesce a difendersi da un attacco DDoS, figuriamoci se si riesce a capire la veridicità di una rivendicazione di hacker, se mai ci fosse davvero stata e non sia solo un’ipotesi data dalla moda del momento e le notizie di solito rimbalzano senza nessuna verifica delle fonti.